Як змінити стандартні дозволу для нових GPO

Повертаючись до проблем, які виникають із застосуванням групових політик, після установки оновлень з бюлетеня безпеки MS16-072 (KB3163622), хочеться поговорити ще про один важливий момент. Як ви пам'ятаєте, щоб після установки цього оновлення на клієнтах коректно працювали GPO Security Filtering, потрібно вручну відредагувати всі політики, в яких використовуються Security Filtering і на вкладці Delegation надати доступ тільки на читання для Domain Computers (Або цілком перекладається на Item-Level Targeting). Але як же бути з новими політиками? Невже тепер доведеться кожного разу при створенні нової GPO, вручну правити її списки контролю доступу?

На щастя ні. Можливо поправити стандартні права в шаблоні ACL, який використовується при створенні нової групової політики. Цей ACL зберігається в схемі AD в атрибуті defaultSecurityDescriptor об'єкта Group-Policy-Container. Розглянемо, як зробити модифікацію схеми AD, щоб все нові політики відразу створювалися з потрібними правами. У нашому прикладі нам потрібно додати дозвіл Read для групи Domain Computers.

Примітка. Для внесення змін до схеми Active Directory ваш обліковий запис повинен входити в групу Schema Admins.важливо. При зміні схеми AD потрібно бути гранично уважним!

1. Якщо на сервері встановлені AD tools, запустіть консоль ADSIEdit.msc. Виберіть пункт меню Action-> Connect to і підключіться до контексту схеми AD вашого домену (Schema)
2. У дереві схеми перейдіть в розділ CN =Schema, CN =Configuration і знайдіть в правій колонці об'єкт CN =Group-Policy-Container
3. Клацніть двічі по контейнеру і знайдіть атрибут defaultSecurityDescriptor. У значенні цього атрибута в форматі SDDL (Security Descriptor Definition Language) зберігаються дозволу, що застосовуються для створюваних GPO.
4. Виділіть SDDL рядок і скопіюйте її в Notepad (в разі чого можна повернутися до стандартного значенням).

   За замовчуванням, права на GPO надані такими групами:

   • Authenticated Users
   • Domain Admins
   • Enterprise Admins
   • ENTERPRISE DOMAIN CONTROLLERS
   • SYSTEM
5. В кінці SDDL рядки атрибута потрібно додати наступне значення: (A;CI;LCRPLORC;;;DC)

   Примітка. Що означає ця строка.Тіп доступу: A = Access Allowed

   Прапор ACE: CI = Container Inherit

   Дозволи:

   LC = List Contents
   RP = Read All Properties
   LO = List Object
   RC = Read Permissions

   Суб'єкт доступу: DC = Domain Computers

6. збережіть зміни
7. Щоб застосувати зміни, потрібно перезавантажити схему. Для цього відкрийте mmc консоль і додайте оснащення AD Schema (Якщо оснащення відсутня, зареєструйте бібліотеку regsvr32 schmmgmt.dll і перезапустіть mmc консоль). Клацніть ПКМ по Active Directory Schema і виберіть Reload the Schema

Тепер спробуйте створити нову GPO і упевниться, що на вкладці Delegation з'явилися права Read для групи Domain Computers.

Примітка. Дана зміна стосується тільки нових створюваних GPO, права на будь-які старі політики доведеться редагувати вручну.